Modulo_2_Part3 - CESCOT

NTFS è un file system nativo di Windows
NT, di Windows 2000 e di Windows XP.
Oltre a miglioramenti nella gestione dei
files rispetto i sistemi FAT, nelle partizioni
NTFS è possibile specificare “permessi” per
cartelle e singoli files ad utenti o gruppi di
utenti.
In questo modo è possibile
una maggior
protezione del sistema.
I permessi NTFS sono concedibili sia a singoli
utenti che a gruppi.
La strategia migliore di concessione di
permessi NTFS è definita:
A G DL P
Questa strategia di concessione di permessi
NTFS prevede:
L’aggiunta
di un Account utente ad un
Gruppo Globale.
L’inserimento di questo il un Gruppo
Locale al Dominio.
La definizione dei Permessi a
quest’ultimo.
NTFS consente di associare ad ogni file o
cartella una “Access Control List” (ACL)
contenente gli utenti ed i gruppi che possono
accedere alla risorsa ed i loro permessi.
L’ ACL di ciascuna risorsa deve contenere
almeno una “Access Control Entry” (ACE)
per un utente o per un suo gruppo di
appartenenza, per concedere ad esso
l’accesso.
•UTENTE_1 e GRUPPO_1 sono nella ACL
della risorsa e, quindi la possono
utilizzare, con diversi permessi.
•UTENTE_2 non è
nella ACL e,
quindi, non può
accedere alla risorsa.
I permessi di NTFS di cartella (folder)
consentono l’accesso e le operazioni alle
cartelle, alle sottocartelle ed ai files in esse
contenuti.
•Controllo completo (Full Control)
•Modifica
•Lettura ed Esecuzione
•Visualizza contenuto cartella
•Scrittura
•Lettura
Nell’esempio il
gruppo
Administrators
possiede tutte
le autorizzazioni
sulla cartella
“Inetpub”
I permessi di NTFS di file consentono
l’accesso e le operazioni ai singoli file.
Quando i permessi di files si scontrano con
quelli di cartella, prevalgono i primi.
•Controllo completo (Full Control)
•Modifica
•Lettura ed Esecuzione
•Scrittura
•Lettura
Per poter assegnare permessi NTFS ad
un file o ad una cartella bisogna
appartenere al gruppo "Administrators",
ovvero possedere su quel file o su quella
cartella il permesso di “Controllo completo“
o esserne il "Proprietario" ("Owner").
Permission
Description
Full Control
Permission to read, write, change and delete files
and sub-folders.
Modify
Permission to read and write to files in the folder,
and to delete current folder.
List Folder
Contents
Permission to obtain listing of files and folders and
to execute files.
Read and
Execute
Permission to list files and folders and to execute
files.
Write
Permission to create new files and folders within
selected folder.
Read
Permission to list files and folders.
Permission
Description
Full Control
Permission to read, write, change and delete
the file.
Modify
Permission to read and write to and delete
the file.
Read and
Execute
Permission to view file contents and execute
file.
Write
Permission to write to the file.
Read
Permission to view the files contents.
Allows access to folder regardless of whether
access is provided to data in folder. Allows
execution of a file.
Traverse folder option provides permission to view
List folder / read data
file and folder names. Read data allows contents
of files to be viewed.
Allows read-only access to the basic attributes of
Read attributes
a file or folder.
Allows read-only access to extended attributes of
Read extended attributes
a file.
Create files option allows the creation or
placement (via move or copy) of files in a folder.
Create files / write data
Write data allows data in a file to be overwritten
(does not permit appending of data).
Create folders option allows creation of subfolders in current folder. Append data allows data
Create folders / append data
to be appended to an existing file (file may not be
overwritten)
Allows the basic attributes of a file or folder to be
Write attributes
changed.
Allows extended attributes of of a file to be
Write extended attributes
changed.
Provides permission to delete any files or subDelete subfolders and files
folders contained in a folder.
Allows a file or folder to be deleted. When deleting
a folder, the user or group must have permission
Delete
to delete any sub-folders or files contained
therein.
Provides read access to both basic and special
Read permissions
permissions of files and folders.
Allows basic and special permissions of a file or
Change permissions
folder to be changed.
Traverse folder / execute
file
Take ownership
Allows user to take ownership of a file or folder.
I permessi NTFS sono cumulativi; ciò significa che se un utente ha
permessi personali ed altri sono assegnati ad uno o più gruppi di
appartenenza, il permesso che ne consegue è la somma di tutti quelli
personali e di gruppo.
Le autorizzazioni negate
prevalgono su
quelle concesse
I permessi specifici del file hanno sempre la
precedenza sui permessi
di gruppo e su quelli ereditati
Copiando o spostando file o cartelle tra
volumi NTFS, si hanno diversi risultati
Copia su stessa partizione NTFS
La copia eredita i permessi della
cartella di destinazione
Copia su altra partizione NTFS
La copia eredita i permessi della
cartella di destinazione
Copia su partizione non-NTFS
I permessi sono persi
Spostamento su stessa partizione
Si mantengono i permessi di
origine
Spostamento su altra partizione
NTFS
Si ereditano i permessi della
cartella di destinazione
Spostamento su partizione nonNTFS
I permessi sono persi
Condividere solo le risorse strettamente
necessarie.
Indicare nomi di condivisione chiari ed
univoci.
Non condividere interi dischi, ma solo
cartelle.
Eliminare subito le autorizzazioni ad
Everyone, sostituendole con altre di gruppo
od utente.
Concedere autorizzazioni limitate agli utenti
generici, in particolare agli studenti.
All’installazione di Windows 2000/2003 sono predisposte alcune
condivisioni speciali che hanno lo scopo di favorire l’amministrazione
del sistema.
Queste condivisioni sono nascoste, accessibili dal sistema e non
sono modificabili, ma solo cancellabili.